Investigadores de Koi Security han documentado el primer caso confirmado de un addon malicioso de Outlook distribuido directamente a través del Microsoft Office Add-in Store. El complemento AgreeTo, que en su origen era una herramienta legítima para gestionar reuniones en Outlook, fue tomado por atacantes y transformado en un kit de phishing completamente funcional, utilizado para robar más de 4000 cuentas Microsoft y datos financieros sensibles de los usuarios.
Cómo un complemento legítimo de Outlook se convirtió en una amenaza de phishing
AgreeTo nació como un add-in orientado a simplificar la planificación de citas en Outlook. Desarrollado por un proveedor independiente, se distribuyó oficialmente en el Microsoft Office Add-in Store desde diciembre de 2022, lo que generó un elevado nivel de confianza entre usuarios y organizaciones que lo instalaban directamente desde el ecosistema de Microsoft 365.
Los complementos de Office (Office add-ins) se basan en un modelo arquitectónico donde el archivo clave es un manifiesto que define permisos y, sobre todo, el URL remoto desde el que se carga la interfaz web y la lógica del complemento. En el caso de AgreeTo, el contenido se servía desde el dominio outlook-one.vercel[.]app, alojado en la plataforma Vercel. Aunque el desarrollador dejó de mantener el proyecto con el tiempo, el add-in siguió disponible en la tienda y la base de usuarios permaneció activa.
Arquitectura de los Office add-ins: el punto débil que explotaron los atacantes
La debilidad estructural de este modelo es que Microsoft solo valida y firma el manifiesto al momento de la publicación. Una vez aprobado, el contenido real del complemento —interfaz, scripts y lógica de negocio— se carga de forma dinámica desde el servidor del desarrollador, sin inspecciones continuas posteriores sobre ese contenido remoto.
Los atacantes aprovecharon precisamente esta característica. Al tomar control del dominio indicado en el manifiesto, sustituyeron el contenido legítimo por un kit de phishing. El manifiesto firmado seguía siendo el mismo, por lo que, desde la perspectiva del Microsoft Office Add-in Store y de muchos controles de seguridad, AgreeTo continuaba pareciendo un complemento de confianza, aunque en realidad se había transformado en un addon malicioso para Outlook.
Cadena de ataque: suplantación de la pantalla de inicio de sesión de Microsoft
Según el análisis de Koi Security, una vez comprometido el dominio, los atacantes desplegaron una falsa página de inicio de sesión de Microsoft con un formulario de contraseña, scripts de robo de datos y un mecanismo de redirección. Cuando el usuario abría AgreeTo en la barra lateral de Outlook, en lugar de ver la interfaz habitual de gestión de reuniones, se encontraba con lo que parecía ser un formulario legítimo de acceso a la cuenta Microsoft.
El diseño de la página imitaba con alta fidelidad la apariencia oficial, lo que incrementaba la tasa de éxito del phishing. Todas las credenciales introducidas —usuario, contraseña, datos adicionales, respuestas a preguntas de seguridad e incluso números de tarjetas bancarias— se enviaban a los atacantes mediante un bot de Telegram configurado como canal de exfiltración. A continuación, la víctima era redirigida a la verdadera página de autenticación de Microsoft, reforzando la sensación de normalidad y dificultando la detección del fraude.
Al monitorizar este canal de exfiltración, los investigadores confirmaron la comprometida de más de 4000 cuentas Microsoft, junto con datos financieros y de recuperación de cuenta. Esto implica un riesgo que trasciende el correo electrónico: acceso a servicios vinculados, banca online, almacenamiento en la nube y otras plataformas empresariales asociadas a la identidad Microsoft 365 de la víctima.
Permisos del complemento y posible extensión del impacto
AgreeTo mantenía permisos de tipo ReadWriteItem, lo que técnicamente le otorgaba capacidad para leer y modificar mensajes de correo en la bandeja del usuario. Aunque Koi Security no observó evidencia clara de uso activo de estos permisos, su mera existencia aumentaba considerablemente el potencial de daño: manipulación silenciosa de correos, inserción de enlaces maliciosos en hilos de confianza o propagación lateral mediante respuestas y reenvíos aparentemente legítimos.
El análisis de la infraestructura también reveló que el operador de esta campaña controlaba al menos una decena de otros kits de phishing orientados a proveedores de acceso a Internet, bancos y servicios de correo electrónico. Durante la investigación se detectó la verificación activa de credenciales robadas, lo que sugiere una monetización rápida mediante accesos no autorizados, fraude financiero o venta de cuentas en mercados clandestinos.
Implicaciones para empresas y usuarios de Microsoft 365 y Outlook
El caso AgreeTo, que permaneció disponible en el Microsoft Office Add-in Store hasta el 11 de febrero de 2026, marca el primer incidente documentado de malware operativo distribuido desde la tienda oficial de complementos de Microsoft y el primer addon malicioso de Outlook conocido que explota de forma directa esta cadena de confianza.
Los usuarios que todavía tengan instalado AgreeTo deben desinstalarlo de inmediato, cambiar la contraseña de su cuenta Microsoft, activar o reforzar la autenticación multifactor (MFA) y revisar cuidadosamente la seguridad de los servicios vinculados (correo corporativo, banca online, almacenamiento en la nube y aplicaciones SaaS asociadas).
Este incidente demuestra que ni siquiera los mercados oficiales de extensiones son infalibles. Las organizaciones deberían complementar la confianza en el ecosistema Microsoft con políticas de control de complementos de Office: restringir su instalación mediante GPO o políticas de Microsoft 365, auditar periódicamente los add-ins desplegados, y formar a los empleados para identificar pantallas de inicio de sesión sospechosas, especialmente cuando se abren dentro de paneles laterales o ventanas emergentes de aplicaciones.
Las empresas que utilizan Outlook y Microsoft 365 pueden reducir significativamente su superficie de ataque combinando acceso condicional, supervisión de inicios de sesión, políticas estrictas de MFA, detección de anomalías en uso de cuentas y gestión centralizada de complementos. Revisar con regularidad qué add-ins están autorizados y de qué dominios cargan contenido es una medida esencial para evitar que el próximo “complemento cómodo” se convierta en un canal invisible de compromiso de credenciales críticas.
